Was ändert sich?
Das CA/Browser Forum hat im April 2025 mit dem Ballot SC-081v3 beschlossen, die maximale Gültigkeitsdauer öffentlich vertrauenswürdiger TLS-Zertifikate stufenweise von ursprünglich 398 Tagen auf nur noch 47 Tage zu reduzieren. Der Beschluss fiel einstimmig – alle großen Browser-Hersteller (Apple, Google, Microsoft, Mozilla) und Zertifizierungsstellen stimmten zu.
Der Zeitplan
Die Umstellung erfolgt in vier Phasen. Die erste Stufe ist bereits aktiv:
| Datum | Maximale Zertifikatslaufzeit | DCV-Wiederverwendung | Status |
|---|---|---|---|
| vor dem 15. März 2026 | 398 Tage | 398 Tage | abgelöst |
| 15. März 2026 | 200 Tage (in der Praxis 199) | 200 Tage | aktuell aktiv |
| 15. März 2027 | 100 Tage | 100 Tage | geplant |
| 15. März 2029 | 47 Tage | 10 Tage | Endausbau |
Seit dem 15. März 2026 stellen alle öffentlich vertrauenswürdigen Zertifizierungsstellen nur noch Zertifikate mit maximal 200 Tagen Laufzeit aus. Einige CAs wie DigiCert (24. Februar 2026) und Sectigo (12. März 2026) hatten bereits einige Tage früher umgestellt.
Warum diese Änderung?
Kürzere Laufzeiten begrenzen das Risiko bei kompromittierten privaten Schlüsseln, Domain-Übertragungen und veralteten Validierungsdaten. Klassische Sperrmechanismen wie CRL und OCSP funktionieren in der Praxis unzuverlässig — die Browser haben sie weitgehend aufgegeben. Eine kürzere Lebensdauer ist faktisch die einzige zuverlässige „Sperrung".
Was betrifft das konkret?
- Alle öffentlich vertrauenswürdigen TLS-Zertifikate (DV, OV, EV) — also alle Zertifikate, die in Browsern als „sicher" angezeigt werden.
- Nicht betroffen: private/interne PKI (eigene CAs, Intranet-Zertifikate).
Zusätzlich verkürzt sich die wiederverwendbare Domain-Validierung (DCV) bis 2029 auf 10 Tage — d. h. praktisch bei jeder Zertifikatsausstellung muss die Domain-Kontrolle neu nachgewiesen werden.
Was bedeutet das für Sie als Kunde?
Seit März 2026 müssen Zertifikate bereits etwa alle 6 Monate erneuert werden. Ab 2029 verkürzt sich der Zyklus auf etwa alle 30 Tage — rund 8× pro Jahr und Zertifikat. Manuelle Prozesse (Bestellung, DCV per E-Mail, händisches Einspielen) sind in diesem Takt nicht mehr praktikabel und werden spätestens 2027 zum Ausfallrisiko.
Was tun wir?
Wir arbeiten bereits an einer vollautomatisierten Zertifikatsverwaltung für alle Kundendomains auf unserer Infrastruktur. Ziel: Sie merken von der Umstellung nichts. Ausstellung, Domain-Validierung, Erneuerung und Deployment laufen im Hintergrund, ohne manuellen Eingriff Ihrerseits – auch beim 47-Tage-Takt ab 2029.
Wir informieren Sie rechtzeitig, sobald die Lösung produktiv ausgerollt wird. Für die aktuell laufende 200-Tage-Phase besteht für Sie kein akuter Handlungsbedarf.
Was sollten Sie selbst prüfen?
Falls Sie Zertifikate außerhalb unserer Plattform betreiben (eigene Server, Appliances, Load Balancer, IoT-Geräte), planen Sie jetzt die Umstellung auf ACME-basierte Automatisierung.
Ein Projekt der Daka Media KG